鹰潭ISO27001信息安全管理系统标准简介（2）

您的当前位置：首（shǒu）页 >> 服（fú）务项目 >> 鹰（yīng）潭ISO27001

鹰潭ISO27001信息安全管理系统标准简介（jiè）（2）

所属分类：鹰潭ISO27001
点击次（cì）数：
发布（bù）日期：2021/06/17
在线询价

详（xiáng）细介（jiè）绍

信息安（ān）全管（guǎn）理系（xì）统（tǒng）是运营风险整体管理（lǐ）系统的（de）其中一部（bù）分，目的是建立、实（shí）施、推行、检讨、维持（chí）及改善（shàn）信息（xī）安全。

机构在信息的机密性、完整性和可（kě）用（yòng）性三方面（miàn）的目标各是什（shí）么呢？什么程度的风险（xiǎn）是可接受的？是（shì）否存（cún）在任何限制（zhì），如法（fǎ）律、法（fǎ）规或机构内部程序？信（xìn）息安（ān）全政（zhèng）策应该是一份由（yóu）行政总监（jiān）签署认可的文件（jiàn）。控（kòng）制措施应采取由上至下的推行方（fāng）式。

风险评估根据需要保护的信（xìn）息和可接受的风险程度来识别真正的风险，并就这些（xiē）风险出（chū）现的可能性与其影（yǐng）响的严（yán）重性作（zuò）出评估，从而辨别出机构需要管理的风（fēng）险，即下图红色（sè）部分内的风险。

风险管理 / 风险（xiǎn）处理
完成风险（xiǎn）评（píng）估（gū）后，便要决（jué）定如何处理（lǐ）这些（xiē）风险。

适用（yòng）性报告 (Statement of Applicability)
识别出所有的保（bǎo）安措（cuò）施，指出哪些对机构而（ér）言是适用（yòng）或不适（shì）用的，并说（shuō）明原因。须针（zhēn）对风险（xiǎn）评估的结果来选择控制措施。

II. 实施
选定了（le）控（kòng）制措施后，便（biàn）需落实推行，同时也需制定程序以确（què）保能够迅速（sù）察觉到事故的发生并作出回应（yīng），并（bìng）确（què）保（bǎo）所（suǒ）有员工都了解信息安全（quán）的重（chóng）要性，且确保其接受了适当的培训，及有能力执（zhí）行他们负责的保（bǎo）安任务。此（cǐ）外，还要妥善管理所需的资源。

III. 核查（chá）
核查的目的是确（què）保控制措施都（dōu）已（yǐ）推行，并能达到既（jì）定（dìng）的目标。尽管（guǎn）有多种可行的核查方法，但（dàn）只有内部（bù）审核与管理（lǐ）检讨是强制性（xìng）的要求（qiú）。

IV. 采取行（háng）动
      之后便（biàn）需（xū）对核（hé）查结（jié）果采取适当的行（háng）动（dòng），相关的行动可以是：
      修正
      预防（fáng）
      改善

总结
ISO/IEC 27001:2005 标准为所（suǒ）有行业的机构都（dōu）提供了一套业务工具（jù），协助其避（bì）免信息（xī）保安的失误，从而降（jiàng）低了相应的风险。正式推行（háng）ISO/IEC 27001:2005 并（bìng）取（qǔ）得（dé）有（yǒu）关认证的机构（gòu）将（jiāng）受（shòu）益匪（fěi）浅，以下列举其中数项：
由于按照（zhào）国（guó）际标准实施适当的控制措施，机构便能自行（háng）将信息保安的失误（wù）率降（jiàng）至较低
以系统（tǒng）化的方法处理符（fú）合（hé）法律的问题，从而（ér）减低所（suǒ）需承担的法律责任风险
以系统化的（de）方法计划及管（guǎn）理运营的持续性

增加客户、合作伙伴和相（xiàng）关人士（shì）对（duì）机构的信心（xīn）
提升营（yíng）运收入，并为机构带（dài）来更多商机